(12) DEMANDE INTERNATIONALE PUBLIEE EN VERTU DU TRAITE DE COOPERATION 

EN MATIERE DE BREVETS (PCT) 



(19) Organisation Mondiale de la Propriete 

Intellectuelle 

Bureau international 

(43) Date de la publication internationale 
13 octobre 2005 (13.10.2005) 




PCT 





(10) Numero de publication internationale 

WO 2005/096135 A2 



(51) Classification internationale des brevets 7 : G06F 7/52 

(21) Numero de la demande internationale : 

PCT/FR2005/000443 

(22) Date de depot international : 

24 fevrier 2005 (24.02.2005) 



(25) Langue de depot : 

(26) Langue de publication : 



francais 
francais 



(30) Donnees relatives a la priorite : 

0402146 2 mars 2004 (02.03.2004) FR 

(71) Deposant (pour tous les Etats designes sauf US) : 
FRANCE TELECOM [FR/FR]; 6, place d'Alleray, 
F-75015 Paris (FR). 



(72) Inventeurs; et 

(75) Inventeurs/Deposants (pour US seulement) : GIRAULT, 
Marc [FR/FR]; 4, rue Viviane, F-14000 Caen (FR). 
LEFRANC, David [FR/FR]; Residence Stephanolyse, 7, 
rue des Tilleuls, F-14000 Caen (FR). 

(74) Mandataires : LOISEL, Bertrand etc.; Cabinet Plasser- 
aud, 65/67, rue de la Victoire, F-75440 Paris Cedex 09 

(FR). 

(81) Etats designes (sauf indication contraire, pour tout titre de 
protection nationale disponible) : AE, AG, AL, AM, AT, 
AU, AZ, BA, BB, BG, BR, BW, BY, BZ, CA, CH, CN, CO, 
CR, CU, CZ, DE, DK, DM, DZ, EC, EE, EG, ES, FT, GB, 
GD, GE, GH, GM, HR, HU, ID, IL, IN, IS, JP, KE, KG, 
KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, MA, MD, MG, 
MK, MN, MW, MX, MZ, NA, NI, NO, NZ, OM, PG, PH, 
PL, PT, RO, RU, SC, SD, SE, SG, SK, SL, SM, SY, TJ, TM, 

[Suite sur la page suivante] 



(54) Title: METHOD AND DEVICE FOR PERFORMING A CRYPTOGRAPHIC OPERATION 



(54) Titre : PROCEDE ET DISPOSITIF POUR ACCOMPLIR UNE OPERATION CRYPTOGRAPHIQUE 



alea r 



< 
IT) 




valeur ajoutee 
ou soustraite 




i(5] 



Ml 



ton 



(B2) 



i[1] 



(B1) ... RANDOM 

(B2) ... INCREMENT OR SUBTRACTED VALUE 



OS 



(57) Abstract: The inventive method for performing a cryptographic operation by a device controlled by the security application 
executed outside thereof consists in producing a cryptographic value (y) in the device by a calculation comprising at least one multi- 
plication between first and second factors containing a security key (s) associated with the device and a challenge number (c) provided 
by the security application. The first multiplication factor comprises a determined number of bits (L) in a binary representation. The 
second factor is constrained in such a way that it comprises; in a binary representation, several bits at 1 with a sequence of at least 
L-l bits at 0 between each pair of consecutive bits to 1 and the multiplication is carried out by assembling the binary versions of the 
first factor shifted according to positions of the bits at 1 of the second factor, respectively. 
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(57) Abrege : Pour accomplir une operation cryptographique dans un dispositif sous le controle d'une application de securite exe- 
cuted en dehors du dispositif, on produit une valeur cryptographique (y) dans le dispositif, par un calcul comprenant au moins une 
multiplication entre des premier et second facteurs incluant une cle secrete (s) associee au dispositif et un nombre (C) dit challenge 
fourni par 1' application de securite. Le premier facteur de la multiplication comprend un nombre de bits determine L en representa- 
tion binaire. On contraint le second facteur pour qu'il comprenne, en representation binaire, plusieurs bits a (1) avec, entre chaque 
paire de bits a (1) consecutifs, une sequence d'au moins L-l bits a (0), et en ce que la multiplication est realisee en assemblant des 
versions binaires du premier facteur respectivement decalees conformement aux positions des bits a (1) du second facteur. 



WO 2005/096135 PCT/FR2005/000443 

A 

PROCEDE ET DISPOSITIF POUR ACCOMPLIR UNE OPERATION 

CRYPTOGRAPHIQUE 

La presente invention concerne un proced6 pour accomplir une 
operation cryptographique dans un dispositif dans le cadre d'une application de 
5 security. En particulier, Pinvention se rapporte aux precedes cryptographiques 
de protection contre la fraude d'une puce electronique dans des transactions 
entre une application externe et la puce. 

^invention trouve une application tres avantageuse en ce qu'elle 
permet de proteger contre la fraude des puces a circuit integr6 a logique 

10 cablee, notamment les puces qui equipent les cartes prepayees utilis6es dans 
des transactions diverses telles que I'etablissement de communications 
tetephoniques, le paiement d'objets dans un distributeur automatique, la 
location d'emplacements de stationnement a partir d'un parcmetre, le paiement 
d'un service comme un transport public ou comme la mise a disposition 

15 d'infrastructures (peage, musee, bibliotheque,...), ou les puces qui 6quipent les 
etiquettes radiofrequences ("RFID tags") utilisees dans le tragage de palettes, 
de produits de grande consommation, de billets de banque, etc... 

Actuellement, les puces a logique cablee sont susceptibles de subir 
differents types de fraude. Un premier type de fraude consiste a dupliquer sans 

20 autorisation la carte, le terme clonage etant souvent utilise pour caract6riser 
cette operation. Un deuxieme type de fraude consiste £ modifier les donnees 
attachees a une carte, en particulier le montant du credit inscrit dans la carte. 
Pour lutter contre ces fraudes, il est fait appel a la cryptographie, d*une part 
pour assurer I'authentification de la carte au moyen d'une authentification et/ou 

25 pour assurer Tauthentification des donn6es au moyen d'une signature 
numerique et, d'autre part pour assurer le cas ech6ant la confidentiality des 
donnees au moyen d ! un chiffrement. La cryptographie met en jeu deux entites, 
qui sont dans le cas de I'authentification un verificateur et un objet a verifier, et 
elle peut etre soit symetrique, soit asymetrique. Lorsqu'elle est symetrique (ou 

30 "a cle secrete", les deux termes etant synonymes), les deux entites partagent 
exactement la meme information, en particulier une cle secrete. Lorsqu'elle est 
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asymetrique (ou "a cle publique", les deux termes etant synonymes) une des 
deux entites possedent une paire de cles dont Tune est secrete et I'autre est 
publique ; il n f y a pas de cle secrete partag6e. Dans de nombreux systemes, 
notamment lorsque la puce est de type "3 logique cablee", seule la 
5 cryptographie symetrique est mise en oeuvre avec des cartes prepay6es, car la 
cryptographie asymetrique reste lente et couteuse. Les premiers mecanismes 
d'authentification developp6s en cryptographie symetrique consistent a calculer 
une fois pour toutes une valeur d'authentification, differente pour chaque carte, 
a la stacker dans la memoire de la carte, a la lire a chaque transaction et a la 
10 verifier en interrogeant une application du reseau supportant la transaction ou 
les valeurs d'authentification deja attributes sont soit stockees soit recalculees. 
Ces mecanismes assurent une protection insuffisante parce que la valeur 
d'authentification peut etre espionnee, reproduite et rejouee frauduleusement 
etant donn6 qu'elle est toujours la meme pour une carte donn6e, permettant 
15 ainsi de realiser un clone de cette carte. Pour lutter contre les clones, les 
mecanismes d'authentification passifs de cartes sont remplaces par des 
mecanismes d'authentification actifs qui peuvent en outre assurer I'integrite des 
donnees. 

Le principe g6n6ral des mecanismes d'authentification actifs 
symetriques est le suivant : lors d'une authentification, la puce electronique et 
('application calculent une valeur d'authentification qui est le resultat d'une 
fonction appliquee a une liste d'arguments determinee a chaque 
authentification. La liste d'arguments peut comprendre un alea, c'est-S-dire une 
donn6e determinee par Tapplication a chaque authentification, une donn6e 
contenue dans la puce electronique et une cle secrete connue de la puce 
electronique et de I'application. Lorsque la valeur d'authentification calculee par 
la puce Electronique est identique a la valeur d'authentification calculee par 
('application, la puce electronique est jugee authentique et la transaction entre 
la puce electronique et I'application est autoris6e. 

De tels mecanismes d'authentification sont largement connus mais la 
plupart exigent des capacites de calcul au moins 6gales a celles dont dispose 
un microprocesseur. Ces mecanismes conviennent done aux cartes a 
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microprocesseur, mais rarement aux puces a logique cablee, lesquelles 
disposent de moyens de calcul beaucoup plus rudimentaires. 

Un premier pas a ete effectue lorsque des mecanismes actifs 
d'authentification symetriques ont pu etre integr6s dans des puces a logique 
5 cablee. Par exemple, FR-A-2 826 531 decrit un procede permettant de 
sp6cifier de tels mecanismes. On notera que la valeur d'authentification 
produite par ces mecanismes peut aussi etre interpretee comme une sequence 
de bits pseudo-aleatoires et, en faisant varier au moins Tun des parametres 
d'entree, le procede de calcul de la valeur d'authentification devient alors un 
10 proc6d6 de generation de bits pseudo-al6atoires. 

Cependant, les mecanismes a cle secrete imposent que I'unite de 
verification, en charge de I'authentification de la puce, par exemple presente 
dans un telephone public, un terminal de paiement electronique, ou encore un 
portillon de transport en commun, connaisse la cle secrete detenue par ladite 

15 puce. II en decoule un inconvenient majeur, a savoir que si Ton souhaite que 
cette unit6 puisse authentifier n'importe quelle puce mise en relation avec 
I'application, soit elle doit stocker les cles secretes de toutes les puces, soit elle 
doit stocker une cle de base, appelee aussi cle-mere ou cle-maTtre, permettant 
de retrouver la cl§ secrete de n'importe quelle puce. Dans les deux cas, 

20 chacune de ces unites stocke suffisamment deformation pour pouvoir 
retrouver les cles secretes de toutes les puces emises, et stocke done 
suffisamment d'information pour pouvoir fabriquer des clones de n'importe 
laquelle d'entre elles. II s'ensuit qu'une intrusion reussie contre n'importe 
laquelle des unites de verification aneantirait la securite de I'application dans 

25 son ensemble. 

II existe done un besoin imperieux de pouvoir integrer un mecanisme 
actif d'authentification a cle publique dans une puce a logique cablee, 
notamment dans les applications deployant un grand nombre de puces, ce qui 
est generalement le cas des applications utilisant des puces a logique cablees, 
30 car elles sont tres bon marche. 

II n'existe pas de tels mecanismes car les schemas a cles publiques 
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requierent generalement de nombreuses operations portant sur de grands 
nombres, ce qui les rend a priori inadaptes a une integration dans des puces a 
logique cablee, dans lesquelles la surface de silicium est extremement reduite, 
et dont la logique de calcul se reduit au cablage d'operations extremement 
5 elementaires. De surcroTt, ces operations elementaires sont effectu6es 
generalement en serie, en ce sens que les operandes sont introduits 
sequentiellement bit a bit, et que cette introduction modifie progressivement 
I'etat d'un registre interne dont la valeur finale sert de base au calcul du resultat 
de la fonction. 

10 Par exemple, il est connu de calculer une valeur d'authentification y en 

effectuant Toperation y = r + s.c (ou y = r - s.c), ou r designe un alea, s une cle 
secrete appartenant a une paire de cles asym6trique (s, p), et c est une valeur 
dite "challenge" choisie par Papplication, qui ne peut pas depasser un certain 
seuil, la valeur de r devant toujours rester superieure au nombre qui lui est 

15 ajoute (ou soustrait). Ceci implique I'execution d'au moins une multiplication 
entre entiers a priori quelconques s, c. Or une telle multiplication est une 
operation relativement complexe, hors de portee de la plupart des puces a 
logique cablee. 

Un but de la presente invention est de definir un procede de calcul 
20 d'une valeur cryptographique, par exemple d'authentification, qui soit tel que la 
puce n'ait pas a effectuer explicitement une operation de multiplication et que 
le niveau de securite obtenu soit relativement important, par exemple de Tordre 
de 32 bits, ce qui est un niveau de securite extremement repandu, notamment 
dans la protection de transactions financieres. 

25 Llnvention propose un proced6 pour accomplir une operation 

cryptographique dans un dispositif sous le controle d f une application de 
s6curit6, dans lequel on produit une valeur cryptographique dans le dispositif, 
par un calcul comprenant au moins une multiplication entre deux facteurs 
incluant une partie au moins d'une cle secrete associee au dispositif. Selon 

30 I'invention, un premier des deux facteurs de la multiplication a un nombre de 
bits determine L en representation binaire, et on contraint le second des deux 
facteurs de la multiplication pour qu'il comprenne, en representation binaire, 
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plusieurs bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une 
sequence d'au moins L-1 bits a 0. La multiplication n'a alors pas besoin d'etre 
executee selon un algorithme complexe. II suffit de la realiser en assemblant 
des versions binaires du premier facteur respectivement decalees 
5 conformement aux positions des bits a 1 du second facteur. 

Selon d'autres caracteristiques interessantes du proc6d6 de I'invention: 

- la cle secrete fait partie d'une paire de cles cryptographiques 
asymetriques associee au dispositif; 

- le dispositif comprend une puce incluant une logique cablee pour 
10 produire la valeur cryptographique; 

- le calcul de la valeur cryptographique comprend en outre une addition ou 
une soustraction entre un nombre pseudo-aleatoire et le resultat de la 
multiplication; 

- les premier et second facteurs et le nombre pseudo-aleatoire sont 
15 dimensionnes pour que le nombre pseudo-aleatoire soit sup6rieur au 

resultat de la multiplication, le nombre de bits a 1 du second facteur 
pouvant notamment etre choisi au plus egal au plus grand entier inferieur 
ou &gal a s^L, ou s 1 est un seuil predefini inferieur au nombre de bits du 

nombre pseudo-aleatoire en representation binaire; 

20 - les deux facteurs de la multiplication incluent, en plus de ladite partie de 

la cl6 secrdte, un nombre fourni au dispositif par I'application de s6curit6, 
laquelle est executee en dehors du dispositif; 

- ladite partie de la cle secrete est soit le premier soit le second facteur de 
la multiplication; 

25 - lorsque ladite partie de la cle secrete est le premier facteur de la 

multiplication, lesdites versions binaires sont par exemple disposees 
dans des intervalles respectifs de meme taille en bits, ladite taille 
correspondant a la taille totale d'un espace utilisable divisee par le 
nombre de bits a 1 du second facteur de la multiplication, chaque version 

30 binaire etant plac6e dans son intervalle respectif en fonction d'un 

decalage d6fini par I'application de security; 



WO 2005/096135 



PCT/FR2005/000443 



-6- 

- lorsque la cle secrete est le second facteur de la multiplication, elle peut 
etre stockee dans un support de memoire du dispositif en codant des 
nombres de bits separant respectivement des bornes inferieures 
d'intervalles de (S-1)/(n-1) bits et des bornes inferieures de blocs de bits 

5 alloues au premier facteur de la multiplication et disposes chacun dans 

les intervalles assoctes, S etant le nombre de bits de la cle secrete et n le 
nombre de bits a 1 de la cle secrete; 

- en variante, on peut stacker cette cle secrete dans le support de memoire 
du dispositif en codant des nombres de bits, chacun representatif du 

10 nombre de bits separant deux blocs de bits successifs alloues au premier 

facteur de la multiplication; 

- lorsque ladite partie de la cle secrete est le second facteur de la 
multiplication, elle est stockee dans un support de memoire du dispositif 
ep codant les positions de ses bits a 1 ; 

15 - lorsque ladite partie de la cle secrete est le second facteur de la 

multiplication, le premier facteur peut etre un nombre pseudo-al6atoire 
genere dans le dispositif, la valeur cryptographique etant produite en tant 
que signature electronique; 

- dans une autre application, la valeur cryptographique est produite pour 
20 authentifier le dispositif dans une transaction avec I'application de 

s6curite executee en dehors du dispositif. 

^invention propose egalement un dispositif a fonction cryptographique, 
comprenant des moyens d'interface avec une application de securite et des 
moyens de calcul pour produire une valeur cryptographique, les moyens de 

25 calcul comprenant des moyens de multiplication entre deux facteurs incluant 
une partie au moins d'une cl6 secrete associee au dispositif. Selon invention, 
un premier des deux facteurs de la multiplication a un nombre de bits 
determin6 L en representation binaire, et le second des deux facteurs de la 
multiplication est contraint pour comprendre, en representation binaire, 

30 plusieurs bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une 
sequence d'au moins L-1 bits a 0. Les moyens de multiplication comprennent 
des moyens pour assembler des versions binaires du premier facteur 
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respectivement d6calees conformement aux positions des bits a 1 du second 
facteur. 

Un avantage de la presente invention est d'obtenir un bon niveau de 
security des dispositifs utilisant la cryptographie pour se proteger contre la 
5 fraude, particulierement lors des transactions entre une puce electronique a 
logique cablee et une application de securite externe a la puce electronique. 

Un autre avantage de I'invention est sa simplicite de mise en ceuvre 
puisqu'elle ne necessite pas de moyens de multiplication, couteux et difficiles a 
mettre en oeuvre dans une puce Electronique du fait de sa taille r6duite, les 
10 moyens de multiplication etant remplaces par des moyens d'addition pour 
sommer les decates de la cle secrete ou du challenge. En effet, la multiplication 
d'un entier par une puissance de deux revient £ d6caler vers la gauche les bits 
de la decomposition binaire. 

D'autres particularites et avantages de la presente invention 
15 apparaTtront dans la description ci-apres d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels : 

- la figure 1 illustre un organigramme decrivant un mode de realisation 
d'une authentification cryptographique ; 

- la figure 2 illustre un mode de realisation du procede de I'invention; 

20 - la figure 3 illustre une premiere variante de realisation du procede de 

Tinvention ; 

- la figure 4 illustre une seconde variante de realisation du procede de 
Tinvention; 

- la figure 5 illustre une premiere variante de stockage d'une cl6 secrete 
25 selon I'invention ; 

- la figure 6 illustre une seconde variante de stockage d'une cle secrete 
selon I'invention ; 

- la figure 7 illustre un exemple de dispositif a fonction cryptographique 
mettant en oeuvre le premier mode de realisation de I'invention; et 
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- la figure 8 illustre un exemple cTutilisation d'un dispositif a fonction 
cryptographique selon invention. 

La figure 1 illustre un organigramme d'un procede pour executer une 
operation cryptographique dans un dispositif, particulierement une puce 
5 electronique a logique cabl6e, sous le controle d'une application de securite 
ex6cut6e en dehors du dispositif. 

Notamment, un tel procede est applique dans des transactions entre la 
puce electronique et I'application. Mais il peut aussi bien etre utilise pour le 
calcul d'une valeur cryptographique constituant une signature numerique. 

10 Dans une premiere etape 1, le procede consiste a g6n6rer dans la 

puce electronique un nombre pseudo-aleatoire r dit alea au moyen d'un 
g6nerateur pseudo-aleatoire inclus dans la puce Electronique. L'alea r est 
propre a une transaction. 

Dans une deuxieme etape 2, le procede consiste a transmettre de la 
15 puce electronique a I'application de securite un parametre x relie a I'alea r sur 
la base d'une fonction f telle que x = f(r), f etant associee £ une cl6 publique 
connue de la puce electronique et de I'application de securite. Des parametres 
x peuvent etre calcules d'avance et stockes dans une m6moire de la puce, 
chaque parametre x etant associe respectivement a un nombre pseudo- 
20 aleatoire r. 

A titre d'exemple, g etant un nombre connu de I'application de securite, 

la fonction f peut classiquement etre de la forme : x = f(r) = g r . Une autre 

possibility, egalement bien connue de I'homme du metier, est d'utiliser dans la 
fonction f une fonction de hachage cryptographique h ainsi que des donnees D 

25 Itees a I'application (par exemple un montant de transaction) : x = f(r) = h(g r ,D). 

D'autres exemples de fonction f sont egalement utilisables. 

Dans une troisieme etape 3, le procede consiste £ calculer dans la 
puce electronique une valeur cryptographique y, conformement au procede de 
I'invention decrit plus loin, par des moyens de multiplication ayant pour 
30 parametres d'entree au moins I'alea r propre a la transaction et une cle secrete 
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appartenant & une paire de cles asymetriques (s, p), par exemple avec p = g s . 

La valeur cryptographique constitue tout ou partie d'une valeur 
d'authentification V. 

Dans une quatrieme etape 4, le proced§ consiste a transmettre la 
5 valeur d'authentification V a Tapplication. 

Dans une cinquieme etape 5, le precede consiste a verifier par 
I'application de securite la valeur d'authentification V au moyen d'une fonction 
de verification dont les parametres d'entree se composent de parametres 
publics, contenant au moins la cle publique p. Si la valeur d'authentification est 
10 validee par ('application de securite, les transactions sont autoris6es. 

La presente invention a pour but de calculer une valeur 
cryptographique y en effectuant une operation du type y = r + f,*f 2 (ou de fagon 

equivalente y = r~f 1 *f 2 ) ou r designe un alea calcul6 par un generateur 

pseudo-aleatoire inclus dans la puce electronique et (f 1f f 2 ) un couple de 

15 facteurs incluant la cle secrete s et un nombre c dit challenge fourni par 
I'application de securite. Les representations binaires des facteurs f 1f f 2 sont 

telles que le facteur i A a une taille en bits notee L et que les bits a 1 successifs 

du facteur f 2 ont toujours entre eux une sequence d'au moins L-1 bits ^ 0. 

Ainsi, la multiplication des facteurs f, , f 2 revient a sommer un nombre n 
20 de versions binaires b[1], b[2], b[n] du premier facteur f-, respectivement 
decal6es conformement aux positions des bits a 1 du second facteur f 2 . Le 
nombre n est dependant du nombre de bits a 1 du second facteur f 2 . Compte 

n 

tenu de ces decalages, la somme ^b[h] est realis6e tres simplement en 

h=l 

assemblant les b[h] dans un nombre binaire representant le resultat de la 
25 multiplication. 

Dans la description qui suit, on d6crit un premier mode de realisation 
du proc6d§ de I'invention ou le facteur f, est la cle secrete s de L bits et le 
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second facteur f 2 est le challenge pseudo-aleatoire c fourni par I'application de 

s6curit6. Ainsi la valeur cryptographique y est determinee en effectuant 
Top6ration: 

y = r + s*(2 j n] + ... +2'^]) 

5 ou i[1], .... i[n] designent n valeurs entieres choisies par I'application avec deux 
contraintes : 

- les valeurs i[1], .... i[n] doivent toutes rester inferieures ou egales a un 
seuil note s 1 de sorte que la valeur r reste toujours superieure au nombre 

qui lui est ajoute (ou soustrait), ledit seuil definissant alors un espace 
10 utilisable sur les bits de r. 

- la seconde contrainte consiste a imposer que les differentes valeurs 
i[1], i[n] soient distantes les unes des autres par au moins la taille en 
bits de la cl6 secrdte. 

Ainsi, la cle secrete s etant composee de L bits, et en supposant les 

15 differents entiers i[1] i[n] ranges par ordre croissant, I'application de 

security fournit ces valeurs i[1], i[n] telles que i[1]+L<i[2], i[2]+L<i[3], 
i[n-1]+L<i[n] et i[n]<s 1 . 

Ainsi, le nombre n de bits a 1 du second facteur est choisi au plus egal 
au plus grand entier inferieur ou egal a s-j/L 

20 Les deux contraintes imposent a la valeur de n un maximum not6 u, qui 

ne sera generalement pas tres 6lev6, par exemple u = 5 ou 6. 
Pref6rentiellement, la valeur de n sera prise 6gale au maximum u. 

La figure 2 illustre un exemple d'utilisation du procede de I'invention 
avec n = 5. Le diagramme B1 represente Tal6a r avec I'espace utilisable EU de 
25 taille L+s 1 bits. Le diagramme B2 repr6sente le resultat de la multiplication 

s*c = s*(2 , I 1 l + ... + 2 , I n l), ajoute (ou soustrait) a r. La cle secrete s est decalee 
conform6ment aux positions des bits a 1 du challenge c. On obtient ainsi les 
versions binaires b1 a b5 respectivement decalees de i[1], i[2], i[3], i[4] et i[5] 
bits. 
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Un avantage de la presente invention repose sur le gain de security 
obtenu avec un tel procede, car deviner les differentes valeurs des entiers i[h], 
et eventuellement le nombre n lui-meme s'il n'est pas fix6 par Tapplication de 
securite, est tr6s difficile. 

5 Un autre avantage est que le gain de securite se fait sans pour autant 

complexifier significativement le calcul de la valeur cryptographique y puisque 
la multiplication entre la cl6 secrete et le challenge revient £ assembler des 
decales (ou versions binaires) conformement a I'invention, le calcul etant 
effectue en serie. 

10 Selon une premiere variante du proced§, on impose que les n decales 
de la cl6 secrete soient tous places dans des intervalles de meme taille. Cette 
taille est souhait6e maximale, ce qui signifie qu'elle est egale £ la taille totale 
de Pespace utilisable EU divisee par n ou, si cette valeur n'est pas un entier, le 
plus grand entier qui lui soit inferieur. On notera j[1], j[2] j[n] les ecarts, 

15 choisis par ('application, des blocs de bits correspondant aux d6cal6s de la cle 
secrete avec la borne inferieure de I'intervalle dans lequel ces blocs associes 
sont situes. 

Plus formellement, soit k la taille totale de Tespace utilisable (egale a 
s^L), n est alors le nombre de fois ou Ton veut faire apparaitre la cl6 secrdte 

20 de fa?on disjointe parmi les k bits utilisables. On suppose que k est divisible 
par n (dans le cas contraire, on augmente legerement la valeur de k pour qu'il 
en soit ainsi). 

Uespace total utilisable peut se decomposer en n intervalles de meme 
taille contenant chacun k/n positions de la fagon suivante : 

25 [0, k/n-1] U [k/n, 2k/n-1] U ... U [(n-1)k/n, k-1] 

Avec ('utilisation de la presente variante, on peut d6montrer qu'il y a au 
total ((k/n)-L+1) n valeurs differentes que Ton peut ajouter £ Talea r. 

En effet, chaque intervalle contient k/n positions dont L utilisees pour 
ecrire le decale de la cle secrete. II reste done k/n-L positions libres dans 
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chaque intervalle a repartir autour du bloc de bits utilises par le decal6. Ainsi, 
pour tout h tel que1<h<n, j[h] est une valeur comprise entre 0 et (k/n)-L et 
correspond au nombre de bits entre la (h-1 )(k/n)-ieme position et la position du 
premier bit du decal6. II y a done (k/n)-L+1 valeurs possibles pour chaque j[h]. 

5 Finalement, le nombre de n-uplets (j[1], j[2], ... , j[n]) differents est ((k/n)-L+1) n . 

En d'autres termes, la valeur cryptographique y est calcul6e en 
effectuant Top6ration : 

y = r + (2i£ 1 U + 2 k/n+ it 2 U + 2 2k/n+ iI 3 U + ... + 2( n - 1 ) k/n+ jt n U) 

ou les n valeurs j[1], j[2], j[n] sont choisies par Tapplication de s6curit6 de 
10 fa9on telle que j[h] e [0, (k/n)-L] pour tout h. 

Chaque version binaire b[h] est done decalee de j[h] bits par rapport a 
la borne inferieure de I'intervalle. 

Sur fa figure 3, on a note l[h] = [(h-1)k/n, hk/n-1] le h-ieme intervalle 
dans un cas particulier de la premiere variante de realisation ou n = 5. Le 

15 diagramme B3 represente I'alea r avec Tespace utilisable EU, tandis que le 
diagramme B4 represente la valeur ajoutee (ou soustraite). On obtient ainsi 
des versions binaires b[h] de la cle secrete s, a savoir b[1], b[2], b[3], b[4] et 
b[5], respectivement disposees dans les intervalles l[h]. Chaque version binaire 
b[h] est decalee de j[h] bits par rapport d la borne inferieure de Tintervalle l[h] 

20 associe. 

Selon une seconde variante du proced6 de I'invention, les n valeurs 
d'ecarts j[1], j[2], j[n] sont choisies par Tapplication de securite de fagon a 
representer les ecarts entre deux blocs consecutifs correspondant a deux 
decales de la cle secrete. Comme dans la premiere variante, les n valeurs 
25 peuvent etre prises dans Tintervalle [0, (k/n)-L]. 

La valeur cryptographique est ainsi calculee en effectuant Toperation : 
y = r + (2J[ 1 ]. S + 2 L+ H 1 l + JP].s + 2 2L+ if 1 l + i[2]+j[3] s + + 2 (n-1)L+j[1]+j[2]+...+j[n] s ) 

La figure 4 illustre un exemple d'utilisation de la seconde variante du 
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procede de I'invention avec n=5. Le diagramme B5 represente I'alea r avec 
I'espace utilisable EU, tandis que le diagramme B6 represente la valeur ajoutee 
(ou soustraite). On obtient ainsi cinq versions binaires b[1], b[2], b[3], b[4] et 
b[5], de la cle secrete s, decalees entre elles de j[1], j[2], j[3], j[4] et j[5] bits, 
5 respectivement. 

Dans certains cas, on pourra relacher quelque peu la contrainte sur le 
nombre de bits a 0 devant separer deux bits a 1 consecutifs du challenge c, au 
prix d'une augmentation moderee de la complexity de la logique c§blee de la 
puce, sans sortir du cadre de la presente invention. Considerons par exemple 
10 le cas ou la cle secrete s = f ^ du dispositif est un nombre de L bits avec n = 6. 

Si on impose que deux bits a 1 consecutifs du challenge 

c = 2* 1 ] + 2 j I 2 l + 2}W + 2)W + 2^ + 2't 6 ] soient toujours separ6s par une 
sequence d'au moins L/2 bits a 0 (c'est-a-dire que i[1]+L/2 < i[2], 
i[5]+L < i[6] <s 1? il est aise de decomposer ce challenge en deux termes: 

15 c = f 2 + f 2 , ou f 2 = 2 | [ 1 ] + 2 i [ 3 ] + 2 i I 5 ] et f 2 = 2'[ 2 l + 2'f 4 ] + 2'f 6 ]. Chacun de ces 

deux termes f 2 , f 2 verifie la condition requise pour etre le second facteur de la 

multiplication dans le proc6de selon I'invention: i[1]+L < i[3] < i[5]-L pour f 2 et 

i[2]+L < i[4] < i[6]-L pour f 2 . ^operation cryptographique ^ effectuer s'ecrit 

y = r + s.f 2 + s.f 2 , chacune des deux multiplications s.f 2 , s.f 2 pouvant etre 

20 realisee par assemblage de versions decal6es de s conformement a 
I'invention. La logique cabl6e doit alors comporter deux circuits additionneurs 
(ou soustracteurs). 

Dans un autre mode de realisation de I'invention, les roles de s et de c 
dans la multiplication sont inverses: le premier facteur ^ est le nombre pseudo- 

25 aleatoire c, tandis que le second facteur f 2 est la cle secrete s. La valeur 

cryptographique y est done calcul6e en effectuant Top6ration: 

y = r + c*(2 j [ 1 ]+ ... +2'^]) 



ou r designe un alea, c le challenge choisi par Tapplication de securite, et les n 
valeurs i[1], i[n] correspondent aux positions des bits non nuls de la cle 
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secrete s associee au dispositif, ou cTune partie de cette cl6 secrete. En 

d'autres termes, la cle secrete s est 2't 1 l + 2't 2 l+ ... + 2 i I n l. Les n valeurs 
i[1], i[n] doivent verifier les memes contraintes que celles pr6sent6es lors du 
premier mode de realisation. 

5 Le procede pour le calcul d'une telle valeur cryptographique est 

identique a celui precedemment presente dans le premier mode de realisation. 

Toutefois, la cle secrete s = 2'I 1 1 + 2'^+ ... + 2^1 reste identique pour 
toutes les authentifications, comme Test une cle secrete classique. Deux cas 
peuvent se presenter pour I'utilisation de ce second mode de realisation : 

10 - la cle secrete est dediee a une application particuliere necessitant un 

niveau de securite L 0 constant. Dans ce cas, la construction de la cle 

secrete s se fait en utilisant une cl6 secrete s avec des bits non nuls 
s6par6s par au moins (L 0 -1) bits; ou 

- la cle secrete est utilisee dans differentes applications necessitant des 
15 niveaux de securite differents. II faut alors considerer le niveau de 

securite le plus grand. En effet, dans le cas contraire, la construction 
d'une cle avec des bits non nuls separ6s par (L 0 -1) bits peut donner lieu 

a des challenges de taille L 1 > L 0 , de sorte que les decales du challenge 

ne seraient plus disjoints. D'ou la n6cessit6 d'avoir des bits non nuls de la 
20 cle secrete separes par au moins L-1 bits, ou L represente le niveau 

maximal de securite pouvant etre rencontre durant ('utilisation de la cl6 
secrete s. 

Pour memoriser la cle secrete, une premiere solution consiste a la 
stocker dans sa totalit6. Mais 6tant donn6 la taille de la cl6 secrete due au 
25 niveau de securite eleve, des contraintes physiques, particulierement la taille 
de la memoire de la puce electronique, limitent la taille de stockage possible, 
notamment pour des raisons economiques. 

Une seconde solution consiste a tirer parti de la structure de la cle 

secrete du type 2'f 1 l + 2't 2 l+ ... + 2't n l, en ne stockant que les positions des bits 
30 non nuls de la cle secrete. Cette seconde solution peut etre amelioree, afin de 
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stocker encore moins de bits. Deux methodes sont possibles. 

Soit S la taille de la cle secrete ayant n bits non nuls en faisant 
I'hypothese que S-1 soit divisible par n— 1. Un premier bit non nul est place a la 
position S-1 pour obtenir un secret de la taille souhaitee. Ensuite, on decoupe 
5 les S-1 autres bits de la cle secrete en n-1 intervalles l[1], l[2], I[n— 1] de 
(S-1 )/(n-1) bits. 

Dans chacun des intervalles l[h], on place un bloc de bits alloue au 
bloc de bits representant le challenge de taille L. Chaque intervalle contient 
done (S-1)/(n-1) - L bits non utilises qui se r6partissent a gauche et a droite 
10 du bloc de bits alloue. Au maximum, (S-1)(n-1) - L bits peuvent etre places 
entre la borne inferieure de I'intervalle et le bloc alloue. 

Ainsi, au lieu de stacker la position i[h] des bits non nuls, on peut 
stacker le nombre de bits p[h] se trouvant entre la borne inferieure de chaque 
intervalle et ledit bloc de bits alloue se trouvant dans I'intervalle considere. 

La figure 5 illustre un exemple de stockage d'une cle secrete ayant 
cinq bits non nuls. On stocke ainsi les nombres de bits p[1], p[2], p[3], p[4] 
(dans I'exemple nul) et p[5]. 

La seconde methode consiste a stacker le nombre de bits se trouvant 
entre deux blocs consecutifs de bits alloues au bloc relatif au challenge et le 
nombre de bits se trouvant & chaque extremity (avant le premier bloc alloue et 
apres le dernier bloc alloue). 

La figure 6 illustre la pr6sente methode dans le cas ou la cle secrete 
contient cinq bits non nuls. Ainsi les valeurs p[1], p[2], p[3], p[4], p[5] et p[6] 
sont stockees sur un support de memoire de la puce electronique. Cet exemple 
n'est pas limitatif et des valeurs p[h] peuvent etre nulles. 

Dans le second mode de realisation de Tinvention, il est aussi possible 
dans certains cas de relacher quelque peu la contrainte sur le nombre de bits a 
0 devant separer deux bits a 1 consecutifs de la cle s, au prix d'une 
augmentation moderee de la complexity de la logique cablee de la puce, sans 
sortir du cadre de la presente invention. 
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Le procecte de invention est utilisable pour calculer une valeur 
cryptographique pour proteger contre la fraude un dispositif, particulierement 
une puce electronique a logique cablee, sous le controle d'une application de 
securite externe au dispositif, dans les transactions entres ces deux entites. 

5 Un tel procede est egalement utilisable pour calculer une valeur 

cryptographique comme constituant d'une signature numerique. Dans ce cas, 
le nombre c dit challenge n'est pas fourni par Tapplication de securite mais est 
calcule par la puce electronique d'apres un message a signer. 

La figure 7 illustre un exemple de dispositif a fonction cryptographique 
10 mettant en oeuvre le premier mode de realisation de I'invention. 

Le dispositif 10, tel qu'une puce electronique, comprend : 

- un g6n6rateur de nombre pseudo-aleatoire 12 produisant un al6a r 
propre a une transaction, I'al6a r 6tant Ii6 a un param6tre x associe ; 

- une premiere memoire 16 pour stacker la cle secrete s ; 
15 - une seconde memoire 14 pour stacker les parametres x ; 

- une interface 24 pour 6changer des donnees avec I'application de 
securite externe, de fagon connue en soi ; 

- un circuit 22 de multiplication entre la cle secrete s et le challenge c ; et 

- un additionneur 26 (ou un soustracteur) pour combiner arithm6tiquement 
20 le resultat de la multiplication et le nombre pseudo-aleatoire issu du 

generateur 12. 

Dans la realisation illustr£e par la figure 7, le circuit de multiplication 22 
decale le premier facteur f 1 , particulierement la cle secrete s, conform6ment 
aux exigences de Tinvention, puis transmet sequentiellement bit par bit le 
25 resultat obtenu a I'additionneur 26. 

Parallelement, le generateur pseudo-aleatoire 12 transmet 
sequentiellement bit par bit I'al6a r a Tadditionneur 26. 

L'additionneur 26 additionne ainsi sequentiellement bit par bit Talea r et 
le resultat fourni par le circuit de multiplication 22. 
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Les differents moyens inclus dans le dispositif 10 sont realises en 
logique cablee. 

Un tel dispositif 10 est monte, tel que decrit a la figure 8, sur un support 
28 au format d'une carte de credit par exemple. Le support 28 peut par 
5 exemple etre insere dans un lecteur 30 hebergeant I'application de securite 34. 

Dans un exemple d'application, I'insertion du support 28 dans le lecteur 
30 active automatiquement I'application de securite 34 qui sollicite la puce 
electronique et lui transmet des donnees, particulierement le challenge c. La 
puce electronique s'authentifie en lui fournissant une valeur cryptographique y 
10 (ou V) calculee selon le procede de I'invention. Comme decrit a la figure 1, un 
parametre x lie a r est transmis & I'application de securite. 

A partir des valeurs x et V (ou y), I'application de securite procede alors 
a la verification. 

r 

De fagon classique, lorsque le parametre x est de la forme x = g , 

15 I'equation verifiee par I'application de securite peut etre de la forme 
v c 

g J = x.p lorsque la valeur cryptographique est de la forme y = r + sc, ou 

v c 

g'.p = x si la valeur cryptographique est de la forme y = r - sc. 

Dans le cas ou le parametre x fait apparaTtre une fonction de hachage 
(x = h(g r ,D)) f I'equation de verification est classiquement h(g y /p c ,D) = x lorsque 

20 la valeur cryptographique est de la forme y = r + sc. De preference, on utilise 

alors une valeur cryptographique de la forme y = r - sc, afin que I'equation de 

y c 

verification ne fasse pas intervenir de divisions : h(g .p ,D) = x. 

Lorsque la valeur d'authentification est validee, I'authentification de la 
puce est correcte et Tapplication de securite en informe la puce electronique. 
25 Les transactions entre I'application de securite et la puce electronique sont 
ainsi autoris6es. 
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REVENDICATIONS 

1. Procede pour accomplir une operation cryptographique dans un 
dispositif (10) sous le controle d'une application de securite (34), dans lequel 
on produit une valeur cryptographique (y) dans le dispositif, par un calcul 

5 comprenant au moins une multiplication entre deux facteurs incluant une partie 
au moins d'une cle secrete (s) associee au dispositif, caracterise en ce que, un 
premier des deux facteurs de la multiplication ayant un nombre de bits 
determine L en representation binaire, on contraint le second des deux facteurs 
de la multiplication pour qu'il comprenne, en representation binaire, plusieurs 
10 bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une sequence d'au 
moins L-1 bits a 0, et en ce que la multiplication est r6alisee en assemblant 
des versions binaires du premier facteur respectivement d6calees 
conform^ment aux positions des bits & 1 du second facteur. 

2. Procede selon la revendication 1, dans lequel la cle secrete (s) fait 
15 partie d f une paire de cles cryptographiques asymetriques associee au dispositif 

(10). 

3. Procede selon la revendication 1 ou 2, dans lequel le dispositif (10) 
comprend une puce incluant une logique cablee pour produire la valeur 
cryptographique. 

20 4. Procede selon Tune quelconque des revendications precedentes, 

dans lequel le calcul de la valeur cryptographique comprend en outre une 
addition ou une soustraction entre un nombre pseudo-aleatoire (r) et le resultat 
de la multiplication. 

5. Procede selon la revendication 4, dans lequel les premier et second 

25 facteurs (s, c) et le nombre pseudo-aleatoire (r) sont dimensionn6s pour que le 
nombre pseudo-aleatoire soit superieur au resultat de la multiplication. 
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6. Procede selon la revendication 5, dans lequel le nombre de bits a 1 

du second facteur est choisi au plus egal au plus grand entier inferieur ou egal 
a s^L, ou s-| est un seuil predefini inferieur au nombre de bits du nombre 

pseudo-al6atoire (r) en representation binaire. 

5 7. Procede selon Tune quelconque des revendications pr^cedentes, 

dans lequel les deux facteurs de la multiplication incluent, en plus de ladite 
partie de la cle secrete (s), un nombre (c) fourni au dispositif par Tapplication 
de securite execute en dehors du dispositif. 

8. Procede selon Tune quelconque des revendications 1 a 6, dans 
10 lequel les deux facteurs de la multiplication incluent, en plus de ladite cle 

secrete (s), un nombre (c) fourni par le dispositif. 

9. Proc6de selon Tune quelconque des revendications precedentes, 
dans lequel ladite partie de la cle secrete (s) est ledit premier facteur de la 
multiplication. 

15 10. Procede selon la revendication 9, dans lequel lesdites versions 

binaires sont disposees dans des intervalles respectifs de meme taille en bits, 
ladite taille correspondant £ la taille totale d'un espace utilisable divisee par le 
nombre de bits a 1 du second facteur de la multiplication, chaque version 
binaire etant plac6e dans son intervalle respectif en fonction d'un decalage 

20 conformement aux positions des bits a 1 du second facteur. 

11. Procede selon Tune quelconque des revendications 13 8, dans 
lequel ladite partie de la cle secrete (s) est le second facteur de la 
multiplication. 

12. Procede selon la revendication 11, dans lequel la cl6 secrete (s) est 
25 stockee dans un support de memoire du dispositif en codant les positions de 

ses bits a 1 . 
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13. Procede selon Tune quelconque des revendications 11 a 12, dans 
lequel la cle secrete (s) est stockee dans un support de memoire (16) du 
dispositif en codant des nombres de bits separant respectivement des bornes 
inferieures d'intervalles de (S-1)/(n-1) bits et des bornes inferieures de blocs 

5 de bits alloues au premier facteur (c) de la multiplication et disposes chacun 
dans les intervalles associes, S etant le nombre de bits de la cle secrete et n le 
nombre de bits a 1 de la cle secrete. 

14. Proced6 selon Tune quelconque des revendications 11 a 12, dans 
lequel la cle secrete (s) est stockee dans un support de memoire (16) du 

10 dispositif en codant des nombres de bits, chacun representatif du nombre de 
bits separant deux blocs de bits successifs alloues au premier facteur (c) de la 
multiplication. 

15. Proced6 selon Tune quelconque des revendications pr6cedentes, 
dans lequel la valeur cryptographique (y) est produite pour authentifier le 

15 dispositif dans une transaction avec Tapplication de securite executee en 
dehors du dispositif. 

16. Procede selon Tune quelconque des revendications 1 £ 14, dans 
lequel la valeur cryptographique (y) est produite en tant que signature 
electronique. 

20 17. Dispositif a fonction cryptographique, comprenant des moyens (24) 

d'interface avec une application de securite (34) et des moyens de calcul (12, 
22, 26) pour produire une valeur cryptographique (y), les moyens de calcul 
comprenant des moyens de multiplication (22) entre deux facteurs incluant une 
partie au moins d'une cle secrete (s) associee au dispositif, caracterise en ce 

25 que, un premier des deux facteurs de la multiplication ayant un nombre de bits 
determine L en representation binaire, et le second des deux facteurs de la 
multiplication etant contraint pour comprendre, en representation binaire, 
plusieurs bits a 1 avec, entre chaque paire de bits a 1 cons6cutifs, une 
sequence d'au moins L-1 bits a 0, les moyens de multiplication comprennent 
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des moyens pour assembler des versions binaires du premier facteur 
respectivement decalees conformement aux positions des bits a 1 du second 
facteur. 

18. Dispositif selon la revendication 17, comprenant en outre des 
5 moyens (12) de generation d'un nombre pseudo-aleatoire (r), les moyens de 

calcul comprenant des moyens (26) pour ajouter ou soustraire le resultat de la 
multiplication audit nombre pseudo-aleatoire. 

19. Dispositif selon la revendication 18, dans lequel les premier et 
second facteurs (s, c) et le nombre pseudo-aleatoire (r) sont dimensionnes 

10 pour que le nombre pseudo-aleatoire soit superieur au resultat de la 
multiplication. 

20. Dispositif selon Tune quelconque des revendications 17 a 19, dans 
lequel les moyens (12,22,26) de calcul sont realises en logique cablee. 

21. Dispositif selon Tune quelconque des revendications 17 a 20, dans 
15 lequel ladite partie de la cle secrete (s) est le premier facteur de la 

multiplication. 

22. Dispositif selon Tune quelconque des revendications 17 a 20, dans 
lequel ladite partie de la cl§ secrete (s) est le second facteur de la 
multiplication. 

20 23. Dispositif selon la revendication 22, comprenant en outre une 

memoire (16) adaptee pour stocker des donnees de codage des positions des 
bits & 1 de la cle secrete (s). 
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